Проблеми системи безпеки, які усунено в оновленні iPadOS 17.7.9

У цьому документі описано проблеми системи безпеки, які усунено в оновленні iPadOS 17.7.9.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iPadOS 17.7.9

Accessibility

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: індикатори приватності для мікрофона або камери можуть неправильно відображатися.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

CFNetwork

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему Use-After-Free вирішено завдяки видаленню вразливого коду.

CVE-2025-43222: Andreas Jaegersberger та Ro Achterberg із Nosebeard Labs

CFNetwork

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Опис: непривілейований користувач може змінювати налаштування мережі з обмеженим доступом.

Опис: проблему відмови в обслуговуванні вирішено шляхом поліпшення перевірки вводу.

CVE-2025-43223: Andreas Jaegersberger та Ro Achterberg із Nosebeard Labs

copyfile

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreMedia

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43210: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia Playback

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2025-43230: Chi Yuan Chang із ZUSO ART і taikosoup

Find My

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31279: Dawuge із Shuffle Team

ICU

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43209: Gary Kwong, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

ImageIO

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43226

Kernel

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24224: Tony Iskow (@Tybbow)

libxslt

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-7424: Ivan Fratric із Google Project Zero

Mail Drafts

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: віддалений вміст може завантажуватися, навіть якщо параметр «Завантажити зовнішні зображення» вимкнуто.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Notes

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43225: Kirin (@Pwnrin)

Sandbox Profiles

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: програма може зчитувати постійний ідентифікатор пристрою

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24220: Wojciech Regula із SecuRing (wojciechregula.blog)

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Доступно для: iPad Pro (12,9 дюйма, 2-го покоління), iPad Pro (10,5 дюйма) та iPad 6-го покоління

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2025-6558: Clément Lecigne і Vlad Stolyarov із групи аналізу загроз компанії Google

Додаткова подяка

CoreAudio

Дякуємо за допомогу користувачам @zlluny та Noah Weinberg.

Device Management

Дякуємо за допомогу користувачу Al Karak.

Game Center

Дякуємо за допомогу YingQi Shi (@Mas0nShi) з лабораторії WeBin компанії DBAppSecurity.

libxml2

Дякуємо за допомогу користувачу Sergei Glazunov із Google Project Zero.

libxslt

Дякуємо за допомогу Івану Фратріку (Ivan Fratric) із Google Project Zero.

Shortcuts

Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART, taikosoup і Dennis Kniep.